![af8dcdb66664ce4a1726319018e81978.png](https://img-blog.csdnimg.cn/img_convert/af8dcdb66664ce4a1726319018e81978.png)
github源码
同源策略
- CORS
- JSONP
什么是同源
//获取源
window.origin
location.origin
本地可使用host来模拟偷数据,案例使用以下两个域名
127.0.0.1 qq.com
127.0.0.1 hacker.com
CORS 同源策略
Cross-Origin Resource Sharing (CORS)
MDN英文原文
浏览器规定,JS 运行在A源,就只能获取A源数据,即不允许跨域。可以用来保护用户隐私
假设 http:// baidu.com 引用 http:// cdn.com/jquery.js ,也即是「jquery 运行在源 http:// baidu.com 中」与 cdn 没有任何的关系,jquery.js 也只能获取 http:// baidu.com 的数据而不是其他源的数据
通过referrer
去判断允许的域名访问,也可以在控制台XHR查看